等保2.0下企業的安全觀
筆者最近工作原因不斷接觸等保相關工作,也產生了很多感觸、之前做過幾次分享,在此總結一下,如有疑問或者難題歡迎留言探討,廢話不多說先把導圖上了:
從測評對象上來講,等保更全面的覆蓋了互聯網新興行業包括云計算、移動互聯、物聯網、工控系統,由于筆者行業經驗有限,物聯網、工控可能并不了解,但云計算方面大致研讀了一下,在責任劃分上比較清晰,比如使用了Iaas服務,那么物理層以上的歸自己測評,Pass服務則應用級以上自己測評,如果采購了Saas服務則賬戶體系等由自己測評,總歸一句話:自己那攤子事自己測評。
二、測評流程
測評流程分為:確定定級對象——初步確定等級——專家評審簽字——主管部門簽字——公安備案審查——最終確定定級
定級對象:其中定級對象根據系統面向對象(如面向內部還是面向社會群眾)、系統內存儲與傳輸數據的敏感程度(如是否有真實的用戶手機號、身份證等信息)以及存儲的量級等,在定性過程中其實可以考慮更同行業、同類型系統去對比
專家評審:近期卡的稍微嚴格了一些,建議聘請三位外部專家(具備評測資格資質的)共同評級并簽字,備案期間會檢查;
公安備案審查:近期臨近十月一,由于之前發文說十月一之后公安部將不再接收等保1的報告,所以最近定級備案、等保測評的比較多,目前北京地區貌似海淀非?;鸨?,其他分局還好。
三、測評差異項
總體來講更加務實一些,之前演講時做了幾條總結:
刪除過時攻防姿勢,新增應對新型攻擊要求;
刪除審計結果報表,重視審計過程記錄;
網絡邊界的訪問控制細粒度強化;
個人信息保護要求強化,強化賬戶系統;
可信計算技術建立系統到應用的信任鏈;
降低內部人員專人專項,加強外部人員安全管控;
加強外部與自研服務系統安全檢測,加強漏洞風險管理;
管理制度方面其實大部分企業都是對內一套對外一套,對內務實對外務虛;
四、高風險項
等保高風險項很快隨之而出,其實該部分內容相對還是很實用且在基礎安全中需要關注的點,大概分為兩塊:1、網絡設備、安全設備、主機設備;2、應用系統。整體來講在細則上可以做一些總結提煉:
1、弱口令、默認口令、
2、遠程管理防護
3、雙因素認證
4、惡意代碼防范
5、審計措施
6、不必要服務處置
7、已知重大漏洞修復、測試發現漏洞修復
8、用戶權限管控
9、訪問策略管控
10、數據完整性、保密性(傳輸、存儲)、備份恢復
11、數據采集、存儲、使用、訪問以及敏感信息處理
五、其他實時性問題
其實實時性的問題更加準確且能預測企業需求,比如筆者近期接到的一些通知,其實在其他單位也很快收到了相同的通告,并以此去分享處理方式方法,相互協助幫忙更加實用一些,也希望各位能多分享自己最近接觸到的事件。